Entendiendo los conceptos básicos antes de emitir un certificado
Emitir un certificado digital puede sonar a una tarea reservada solo para administradores de sistemas, pero la verdad es que existen múltiples caminos para lograrlo, desde entornos corporativos complejos hasta plataformas educativas sencillas. Antes de adentrarnos en los pasos concretos, es útil comprender qué significa realmente emitir un certificado. En el mundo de la infraestructura de clave pública, un certificado es un documento electrónico que vincula una identidad con una clave pública. El proceso de emisión implica que una autoridad certificadora verifique la solicitud y firme digitalmente ese documento, otorgándole validez. Este artículo le guiará a través de distintos escenarios para que aprenda a emitir un certificado paso a paso, ya sea mediante herramientas en la nube, servidores locales o plataformas de recursos humanos.
Emitiendo un certificado con AWS Private Certificate Authority
Uno de los métodos más robustos y escalables para emitir certificados es utilizar AWS Private CA, un servicio que permite crear autoridades certificadoras privadas en la nube. El proceso comienza asegurándose de que ya tiene una CA creada y activa en su cuenta de AWS. Una vez que tiene el nombre del recurso de Amazon para su CA, puede emitir un certificado mediante la línea de comandos o desde la consola web. En la línea de comandos, el comando principal es aws acm-pca issue-certificate. Este comando requiere que proporcione el ARN de su CA, una solicitud de firma de certificado en formato PEM y el período de validez deseado. La CSR es el archivo que contiene la clave pública y la información de la entidad que solicita el certificado. AWS procesa la solicitud y devuelve el ARN del certificado emitido, que luego puede descargar o instalar en los servicios que lo necesiten.
Si prefiere trabajar desde la consola de AWS, navegue hasta el servicio de Private CA, seleccione su CA y haga clic en la opción "Emitir certificado". Allí deberá pegar el contenido de su CSR y configurar la validez. La ventaja de este método es que AWS gestiona toda la infraestructura de alta disponibilidad y seguridad, liberándole de mantener servidores físicos. Sin embargo, debe tener muy claro que los costos se basan en el número de certificados emitidos y el tiempo de actividad de la CA. Para más detalles sobre los parámetros específicos del comando, puede consultar la documentación oficial de AWS en AWS CLI Reference – issue-certificate.

Emisión de certificados en un servidor Windows CA local
Para quienes administran entornos corporativos tradicionales, el servidor de certificados de Microsoft Windows sigue siendo una opción muy común. El proceso manual para emitir un certificado desde una solicitud pendiente es directo, aunque requiere permisos de administrador. Primero, abra la consola de administración de Microsoft con el complemento de Autoridad de Certificación. Puede hacerlo ejecutando mmc.exe y agregando el snap-in correspondiente a su servidor CA. Una vez dentro, expanda el árbol hasta encontrar la carpeta "Solicitudes pendientes". Allí verá todas las CSR que los usuarios o equipos han enviado pero que aún no han sido aprobadas.
Para emitir el certificado, haga clic derecho sobre la solicitud deseada, seleccione "Todas las tareas" y luego "Emitir". El sistema moverá automáticamente la solicitud a la carpeta "Certificados emitidos". Es importante que antes de emitir, verifique que la información en la CSR (como el nombre común y la organización) sea correcta. Después de la emisión, el solicitante puede recuperar el certificado desde el equipo cliente o desde el portal de inscripción web si está configurado. Microsoft también permite automatizar este proceso con plantillas de certificado y políticas de grupo, pero el método manual es ideal para auditorías o cuando se necesita aprobación humana. Si desea conocer más a fondo los pasos exactos en un entorno con Active Directory, puede revisar los recursos de Microsoft Learn en How to manually create client certificate on CA server.
Uso de Google Cloud Certificate Authority Service
Otra alternativa moderna es el servicio de Autoridad de Certificados de Google Cloud. Este servicio le permite emitir certificados gestionados desde la consola de Google Cloud o mediante API. El primer paso es tener una CA pool y una CA activa dentro de la misma. Luego, debe crear o seleccionar una plantilla de certificado desde el gestor de plantillas. Las plantillas definen los usos permitidos, el periodo de validez y otros atributos. Una vez que tiene la plantilla lista, vaya a la página de "Certificate Authority Service", seleccione su pool y haga clic en "Crear certificado". Allí deberá proporcionar los datos del sujeto y la clave pública, o bien subir una CSR.

El servicio genera el certificado firmado y le ofrece descargarlo en formato PEM. Google Cloud también permite emitir certificados para cargas de trabajo dentro de su propia infraestructura, como balanceadores de carga o contenedores. La integración con otros servicios de Google es fluida, pero es necesario comprender la estructura de pools y regiones. Una ventaja notable es que no necesita preocuparse por la rotación de la CA raíz, ya que Google gestiona la seguridad subyacente. Para profundizar en los tipos de plantillas disponibles y cómo configurarlas, consulte la documentación de Google Cloud sobre solicitud de certificados mediante plantillas.
Pasos generales en cualquier infraestructura de clave pública
Si bien cada plataforma tiene sus particularidades, el flujo de emisión de certificados sigue una estructura común. Primero, el solicitante genera un par de claves pública y privada. Luego, crea una CSR que incluye la clave pública y los datos de identidad (nombre de dominio, organización, etc.). La CSR se envía a la autoridad certificadora mediante un portal web, un comando CLI o un archivo. La autoridad valida la identidad del solicitante, ya sea automáticamente o mediante revisión manual. Una vez aprobada, la autoridad firma la CSR con su clave privada y produce el certificado final. Este certificado suele distribuirse en formato PEM o PFX. El formato PEM se usa comúnmente en servidores web y sistemas Linux, mientras que PFX incluye la clave privada y es común en entornos Windows.
Un aspecto crítico es la gestión de la validez. Los certificados modernos suelen tener una duración de entre uno y tres años, aunque algunas autoridades recomiendan periodos más cortos para reducir riesgos. Además, es esencial mantener un registro de todos los certificados emitidos, incluyendo su número de serie, fecha de emisión y fecha de expiración. Esto permite renovaciones a tiempo y evita interrupciones en los servicios. A continuación, se muestra un resumen de las herramientas y formatos más utilizados.

| Plataforma o servicio | Formato de salida común | Método de emisión típico |
|---|---|---|
| AWS Private CA | PEM | CLI (aws acm-pca issue-certificate) o consola |
| Windows CA Server | PFX o DER | MMC snap-in (emisión manual desde solicitudes pendientes) |
| Google Cloud CA Service | PEM | Consola o API (mediante plantillas) |
| Plataformas educativas (Classera, Certifier) | PDF o imagen digital | Selección de plantilla y carga de datos vía CSV |
Emitiendo certificados en plataformas educativas y de recursos humanos
No todos los certificados que se emiten son para infraestructura técnica. En el ámbito educativo y corporativo, las plataformas como Classera o Certifier permiten emitir certificados digitales de logros, cursos o eventos. El proceso es notablemente más simple. Generalmente, se comienza seleccionando una plantilla de certificado con el diseño deseado. Luego, se eligen los destinatarios. Esto puede hacerse de forma individual o en lote subiendo un archivo CSV con los nombres, cursos, fechas y otros datos variables. La plataforma rellena automáticamente los campos y genera el certificado final.
El paso final es la emisión, que puede significar publicar los certificados en un portal para que los usuarios los descarguen, o enviarlos por correo electrónico. Algunas plataformas incluso permiten la verificación en línea mediante un código único. Este tipo de emisión no requiere conocimientos profundos de criptografía, ya que la plataforma gestiona la autenticidad y el diseño. Sin embargo, es importante que los datos cargados sean correctos para evitar errores en la personalización. Si necesita emitir cientos de certificados para una promoción o capacitación, este enfoque le ahorrará horas de trabajo manual.
Para una guía más detallada sobre la emisión en masa utilizando archivos CSV, puede revisar la documentación de Classera, donde explican cómo estructurar el archivo y mapear los campos correctamente. También hay herramientas que integran la emisión con sistemas de gestión de aprendizaje, lo que automatiza aún más el proceso.

- Genere o importe un CSR desde el sistema que solicita el certificado.
- Seleccione la autoridad certificadora adecuada (nube o local).
- Verifique la identidad del solicitante según las políticas de su organización.
- Configure el período de validez y los usos extendidos del certificado.
- Emita el certificado y asegúrese de respaldar la clave privada de forma segura.
- Distribuya el certificado a los usuarios o servidores correspondientes.
- Monitoree las fechas de expiración para programar renovaciones.
Consideraciones importantes al emitir certificados
La seguridad de la clave privada es el pilar de todo el proceso. Si la clave privada de la autoridad certificadora se ve comprometida, todos los certificados emitidos pierden su confianza. Por ello, es fundamental almacenar las claves en módulos de seguridad de hardware o en servicios gestionados que cumplan con estándares como FIPS 140-2. Además, siempre debe validar la identidad del solicitante antes de emitir un certificado, especialmente en entornos donde se emiten certificados para empleados o dispositivos. Las políticas de emisión deben definir claramente quién puede solicitar un certificado y bajo qué condiciones.
Otro aspecto práctico es la interoperabilidad. Asegúrese de que el certificado emitido sea compatible con las aplicaciones que lo utilizarán. Por ejemplo, un certificado para servidor web debe incluir el uso extendido de autenticación de servidor, mientras que uno para firma de código requiere el uso de firma digital. La mayoría de las plataformas permiten configurar estos parámetros en las plantillas o en el momento de la emisión. No subestime la importancia de las listas de revocación; debe tener un mecanismo para revocar certificados que hayan sido comprometidos o que ya no sean necesarios.
Referencias
AWS Documentation. “Issue Private End-entity Certificates.” AWS Private CA User Guide. Accedido en enero de 2025. https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html

Microsoft Learn. “How to manually create client certificate on CA server.” Microsoft Q&A. Accedido en enero de 2025. https://learn.microsoft.com/en-us/answers/questions/1469140/how-to-manually-create-client-certificate-on-ca-se
Google Cloud Documentation. “Request a certificate using a certificate template.” Certificate Authority Service. Accedido en enero de 2025. https://cloud.google.com/certificate-authority-service/docs/issue-certificate-using-template
Classera. “Issue Certificates.” Classera User Manual. Accedido en enero de 2025. https://manual.classera.com/docs/issue-certificates/





